Hiki 0.8.7、任意ファイル削除の危険を修正 | スラッシュドット・ジャパン

Hiki 0.8.7、任意ファイル削除の危険を修正 15

ストーリー by Acanthopanax 2007年06月26日 6時00分
チェックは厳しく部門より

tamo 曰く、

Hiki 0.8.0 から 0.8.6 に、任意のファイルを削除させられてしまう脆弱性が発見され、修正されました。Hiki は Ruby で書かれた Wiki クローンとして、日本を中心に人気を集めています。今回の脆弱性は、セッション ID を管理するためのファイルを削除する際に、ファイル名のチェックが不十分だったことが原因です。ログアウトするときにはセッション ID と同名のファイルが削除されますが、セッション ID（として与えられた文字列）が [0-9a-f] を 16 文字含むことしかチェックされていなかった模様です。0.8.7 では 16 進数 16 文字のみを含むことが確認されます。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

すべてのコメント取得

検索15コメント Log In/Create an Account

というか (スコア:1, 興味深い)

by Anonymous Coward on 2007年06月26日 6時46分 (#1180080)

削除対象のファイルとそうでないファイルを名前だけで区別していることに驚いた。それって普通なんだろか。
# あまり脅威ではないけど、修正後も「任意のセッションIDファイル」は消せるのか
- Re:というか (スコア:3, 興味深い)
  
  by tietew (6130) on 2007年06月26日 10時20分 (#1180126) ホームページ
  
  その「任意の有効なセッションID」が推測できるとすれば、それはそれで脆弱性です。
  # ただし今のRubyには暗号安全な乱数関数が（OpenSSL以外）にないが、その辺の評価方法は知らない
  
  親コメント
  - Re:というか (スコア:1, すばらしい洞察)
    
    by Anonymous Coward on 2007年06月26日 13時45分 (#1180215)
    
    「任意の有効なセッションID」が推測できる必要はないんじゃないか？推測できた方が危険度は増すけど、コントロール下にないはずのファイルを消せてしまうことが脆弱性の本質なわけで。
    
    親コメント
    - Re:というか (スコア:0)
      
      by Anonymous Coward
      
      仰ることはもっともですが、そうするとステートレスなHTTPでステートフルを実現するためのセッション機構の全てが脆弱性になってしまいます。実際、脆弱性には違いがないのですが、十分なビット長のセッションIDを持つことによって事実上問題がないということを併記しておかないと、単に危険性を喧騒するだけになってしまいます。
- Re:というか (スコア:1)
  
  by JnJ (23012) on 2007年06月26日 8時43分 (#1180096) ホームページ
  
  長いファイル名&[0-9a-f]以外を許容すると../とかも許可されてしまうので
  たとえセッションファイルが専用のディレクトリに格納されていたとしても
  別のディレクトリのファイルの削除ができてしまうということでは？
  ＃使ってるわけでもソース読んだわけでもないので予測ですが。
  
  --
  LAN内LAN稼働中
  
  親コメント
セッション管理の機能とかなかったっけ？ (スコア:1, 興味深い)

by Anonymous Coward on 2007年06月26日 11時02分 (#1180153)

Ruby はほとんど使ったことが無いんですが、Ruby で記述されたウェブアプリケーションのためのフレームワークの中にセッション管理の機能って無いんでしたっけ？私は PHP をよく使うんですが、最初から用意されているセッション管理機能にべったり依存してしまっていたりします。
- Re:セッション管理の機能とかなかったっけ？ (スコア:0)
  
  by Anonymous Coward
  
  PHPのセッション管理機能も注意して使わないと危ない事で有名ですね。
  - クッキー盗まれるとか？ (スコア:0, おもしろおかしい)
    
    by Anonymous Coward
    
    HTTPSで使わないとクッキー盗まれるとか？
意味がわかりません。 (スコア:0)

by Anonymous Coward on 2007年06月26日 10時30分 (#1180132)

相変わらず、よくわからないネタフリだな。

> セッション IDが [0-9a-f] を 16 文字含むことしかチェックされていなかった模様です。

これよんでも不具合かはさっぱりわかんね。
[A-F]のチェックが抜けてるから？
- Re:意味がわかりません。 (スコア:3, 参考になる)
  
  by Anonymous Coward on 2007年06月26日 10時42分 (#1180140)
  
  > > セッション IDが [0-9a-f] を 16 文字含むことしかチェックされていなかった模様です。
  > これよんでも不具合かはさっぱりわかんね。
  
  「含むこと」がポイントですね。正規表現で /[0-9a-f]{16}/ にマッチするかというチェックしかしてなかったから、
  idを「../../../0123456789abcdef/../../../foo/bar/…」みたいな指定をしても有効になってたってことでしょう。
  で、正規表現を/^[0-9a-f]{16}$/に変えたと。
  
  親コメント
  - Re:意味がわかりません。 (スコア:0)
    
    by Anonymous Coward
    
    正規表現がさっぱりなんだけど要は、
    今まで　→　「0123456789abcdef」さえ含まれていれば他にどんなものが含まれていようがおｋ
    修正後　→　「0123456789abcdef」だけで構成されていないとダメ
    ってことかな？
対策方法 (スコア:0)

by Anonymous Coward on 2007年06月26日 10時35分 (#1180137)

0.8.7 では 16 進数 16 文字のみを含むことが確認されます。

なんだかなあ。そういう対策方法はひろみちゅ先生（誰）に叱られそうです。
こういう方法はどうですか？
ログアウトボタンが押されたら、そのセッション（cookieで指定された）のセッションオブジェクトを参照して、それが存在すれば、そのセッション用のセッション保管用ファイルのファイル名を導出して、削除する。
- Re:対策方法 (スコア:0)
  
  by Anonymous Coward
  
  食わせた相手のIPアドレスを控えておいて照合、とかやらない限り、cookieだって簡単に書き換え可能だと思うんだが。
  - Re:対策方法 (スコア:1)
    
    by Stealth (5277) on 2007年06月26日 10時59分 (#1180151)
    
    IP アドレスを控えておいたところで、proxy の裏側や NAT の裏側にいる相手にはさっぱり意味がありませんが。
    
    親コメント
  - Re:対策方法 (スコア:0)
    
    by Anonymous Coward
    
    はじめからcookie書き換えで攻撃する話ですよ。これは。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Hiki 0.8.7、任意ファイル削除の危険を修正 More ログイン

というか (スコア:1, 興味深い)

Re:というか (スコア:3, 興味深い)

Re:というか (スコア:1, すばらしい洞察)

Re:というか (スコア:0)

Re:というか (スコア:1)

セッション管理の機能とかなかったっけ？ (スコア:1, 興味深い)

Re:セッション管理の機能とかなかったっけ？ (スコア:0)

クッキー盗まれるとか？ (スコア:0, おもしろおかしい)

意味がわかりません。 (スコア:0)

Re:意味がわかりません。 (スコア:3, 参考になる)

Re:意味がわかりません。 (スコア:0)

対策方法 (スコア:0)

Re:対策方法 (スコア:0)

Re:対策方法 (スコア:1)

Re:対策方法 (スコア:0)